Tomasz Kowalski, Secfense CEO’su ve Kurucu Ortağı
On yıllardır siber güvenlik uzmanları, zayıf veya çalıntı parolalara karşı bizi uyarıyor. İki faktörlü kimlik doğrulama (2FA) her zaman şifre sorununa çözüm olarak gösterilmiştir. Ve yıllardır birçok şirket, SMS’den başlayıp uygulama tarafından oluşturulan tek seferlik kodlara (TOTP) geçerek ve e-posta push bildirimleriyle son bularak giderek daha uygun 2FA yöntemleri sunuyor. Ne yazık ki, 2FA yöntemlerinin birçoğunun, zayıf ve savunmasız erişim noktalarımızı başarıyla besleyen siber suçlular tarafından kullanılan karmaşık saldırılara karşı savunmasız olduğu ortaya çıktı. uber yakın zamanda acı bir şekilde öğrendi. Peki, şu anda olana benzer saldırılardan kaçınmak için ne yapabiliriz? uber?
Eylül. New York. Sokakta trafik. Uber sürücüsü, telefonuna bir dizi anlık bildirim alır. Uber tarafından sürücülere gönderilenler gibi hepsi meşru görünüyor. Başlangıçta, sürücümüz direnir ve hiçbir şeye izin vermez, ancak giderek daha fazla rahatsız edici açılır pencere belirir. Bunu görmezden geliyor, yola ve işini yapmaya odaklanması gerekiyor. Birkaç dakika sonra biri ona WhatsApp aracılığıyla mesaj attı. Bir Uber BT uzmanı mı? Ya da en azından, gönderilen bildirimler için hesap erişimi ve yetkilendirme isterken söylediği şey bu. Vay. Şoför sinirlenmeye başlıyor. Yeşil ışık yanar ve metal merdivenli kiralık evin yanındaki yirmi yedincinin köşesinde, kendisi tarafından alınmayı bekleyen bir kız görür. Sinir bozucu bildirimi onaylar ve her şeyi unutur.
Yukarıda anlatılan durum tam olarak yaşanmamış olabilir ancak Uber tarafından yayınlanan bilgilere göre gerçeğe çok yakın olabilir. Uber çalışanlarının dikkatinin dağılması ve mükemmel şekilde yürütülen sosyal mühendisliğin bir sonucu olarak Uber’in ağı tehlikeye girdi.
Sonuçlar
Veri güvenliğini önemseyen her şirket, kuruluş veya kurum, zayıf ve seçici olarak kullanılan kullanıcı tanımlama biçimlerini kullanmaktan uzaklaşmalı ve kimlik avı ve sosyal mühendislik saldırılarına başarılı bir şekilde dayanabilen tekniklere geçmelidir.
– Push tabanlı 2FA’nın zayıflığı kesinlikle, pop-up mesajları alma kullanıcı deneyiminin, birinin gerçekten neyi kabul ettiğini fazla düşünmeden sonunda onları kabul etmesine ve sonunda “izin ver” seçeneğine tıklamasına neden olabilmesidir. FIDO2 kimlik doğrulamasının herhangi bir uygulamada hızlı ve kodsuz uygulanmasına izin veren Kullanıcı Erişimi Güvenlik Aracısını geliştiren Secfense CEO’su Tomasz Kowalski diyor.
FIDO2 kimlik doğrulaması, FIDO Alliance tarafından geliştirilmiş bir açık kimlik doğrulama standardıdır ve kimlik avına ve sosyal mühendisliğe gerçekten dirençli tek kimlik doğrulama yöntemi olarak bilinir.
– Elbette anlık bildirimler hiç yoktan iyidir. Eski usul SMS koruması bile “sadece” parolalardan daha iyidir – Tomasz ekler. – Bununla birlikte, kuruluşların parolalardan biraz daha iyi koruma elde etmek isteyip istemediklerini veya parolalardan uzaklaşıp bunları küresel olarak FIDO2 ile değiştirmeyi mi tercih edeceklerini kendilerine sormaları gerekir. Herkesin kullanımına sunulan FIDO2 standardı ile kuruluşların yarım ölçüler kullanmasına gerek kalmaz, bunun yerine “şifre sorununu” kesin olarak unutmalarını sağlayacak bir şeye ulaşırlar.
Katmanlı, Soğan Yaklaşımı
Bir şirkette güvenlik oluşturmaya yönelik en iyi yaklaşım, onu soğan modeli denilen katmanlar halinde oluşturmaktır. Dünyada olası tüm tehditlere karşı koruma sağlayabilecek bir teknoloji, üretici veya entegratör yoktur.
Ancak, sıfır güven güvenlik modelinin yönergeleri izlenerek ve kuruluştaki tüm uygulamalarda ve erişim noktalarında çok faktörlü kimlik doğrulama (MFA) kullanılarak veri güvenliği performansı en üst düzeye çıkarılabilir. Önemli olan – MFA, oturum açmak için yüz veya parmak izi biyometrik tanıma kullanan modern bir kimlik doğrulama standardı olan FIDO2’ye dayalı olmalıdır.
FIDO2, geleceğe giriş yapmanın en güvenli yolu
Ve neden FIDO2? Çünkü kimlik doğrulama ve çevrimiçi güvenlik açısından gerçek bir devrimdir. İnternetteki her hizmetin kriptografi kullanılarak güvence altına alınabilmesini sağlayan bu açık standart, kimlik avına ve oturum açma bilgilerinin ve parolaların çalınmasına karşı tamamen dirençlidir.
FIDO2, kriptografik anahtarları kullanmanıza izin verir, aynı zamanda Windows Hello bulunan yerleşik kameralı dizüstü bilgisayarlar veya yüz tanıma veya parmak izi okuyuculu akıllı telefonlar gibi her zaman yanımızda bulunan cihazları da kullanmanızı sağlar.
Kullanılmamış güvenlik potansiyeli
Öyleyse, herkese açık ve erişilebilir olması gereken açık bir kimlik doğrulama standardı olan FIDO2 ile hala bir sorun mu var? Neden tüm şirketler henüz kimlik avına karşı korumalı değil? Toplum mühendisliği neden hala böyle?
Uygulama hala en büyük sorun. MFA uygulaması karmaşık, külfetli ve pahalıdır. Ayrıca bir şirketin bünyesinde yüzlerce uygulama varsa, tüm uygulamaların toplu olarak hayata geçirilmesi pratik olarak imkansızdır. Etki? En iyi kimlik doğrulama yöntemlerinden biri olan FIDO2 standardı – Nisan 2018’de tasarlanmış olmasına rağmen – dört yıldan uzun bir süre sonra Internet’te kimliğinizi korumanın evrensel bir yolu değil, hâlâ bir ektir.
– Secfense sayesinde bu durumu değiştirebileceğimizi umuyoruz. Amacımız, MFA’nın iş dünyasında toplu kullanımına giden yolu açmak ve bu amaç için en güçlü FIDO2 standardını kullanmaktı ve olacaktır. – diyor Tomasz Kowalski.
Ekim ayında Seattle’da düzenlenen Authenticate 2022 konferansında da güçlü bir şekilde fark edilen Secfense brokerinin önemli bir avantajı, FIDO2 tabanlı MFA’nın geliştiricileri işe alma maliyeti, dongle satın alma maliyeti ve herhangi bir ek ücret ödemeden kullanıma sunmasıdır. operasyonların düzgünlüğü üzerindeki etkisi.
Şirketler küresel olarak FIDO2 kimlik doğrulamasını ne kadar çabuk başlatırsa, dünya o kadar çabuk parolalardan uzaklaşabilecektir. Parolaları ve kimlik avı tabanlı saldırıları kesin olarak ortadan kaldırmak mümkündür. Zaman alacak ama mümkün. Secfense’de, güçlü kimlik doğrulama yöntemlerinin benimsenmesine yönelik kullanıcı erişimi güvenlik aracısı yaklaşımının bu geçişte büyük bir rol oynayabileceğine inanıyoruz.
yazar hakkında
Tomasz Kowalski, Secfense’nin CEO’su ve kurucu ortağıdır. BT teknolojisi satışında yaklaşık 20 yıllık deneyime sahiptir. Finans telekomünikasyon, sanayi ve askeri sektörlerden büyük ve orta ölçekli şirketlerde yüzlerce donanım ve yazılım uygulamasında yer aldı. Tomasz’a çevrimiçi olarak ([email protected], Tomasz Kowalski | LinkedIn) ve şirketimizin web sitesi https://secfense.com/ adresinden ulaşılabilir.